第一部分
短暂休息后，我们返回NSX。 今天，我将展示如何配置NAT和防火墙。
在管理选项卡中，转到虚拟数据中心- 云资源-虚拟数据中心 。

选择“ 边缘网关”选项卡，然后右键单击所需的NSX Edge。 在出现的菜单中，选择“ 边缘网关服务”选项。 NSX Edge控制面板在单独的选项卡中打开。

配置防火墙规则

默认情况下，在默认规则中，针对入口流量项目选择了“拒绝”选项，即防火墙将阻止所有流量。



要添加新规则，请单击+。 将出现一个新条目，名称为New rule 。 编辑其字段以适合您的要求。



在名称字段中，指定规则的名称，例如Internet。



在“ 源”字段中，输入所需的源地址。 使用IP按钮，您可以指定一个IP地址，IP范围，CIDR。





使用+按钮可以设置其他对象：

• 网关接口。 所有内部网络（内部），所有外部网络（外部）或任何。
  
• 虚拟机。 将规则绑定到特定的虚拟机。
  
• OrgVdcNetworks。 组织级网络。
  
• IP集。 用户创建的IP地址组（在“分组”对象中创建）。
  

在“ 目标”字段中，指定收件人地址。 这些选项与“源”字段中的选项相同。
在服务字段中，您可以选择或手动指定目标端口（目标端口），必要的协议（协议），发送方端口（源端口）。 单击保留。





在“ 操作”字段中，选择所需的操作：允许或拒绝与此规则匹配的流量。



我们通过选择保存更改应用输入的配置。



规则范例

防火墙（Internet）规则1允许通过任何协议访问IP为192.168.1.10的服务器的Internet。

防火墙（Web服务器）的规则2允许通过（TCP协议，端口80）通过您的外部地址从Internet进行访问。 在这种情况下为185.148.83.16:80。

NAT设置

NAT（网络地址转换） -将专用（灰色）IP地址转换为外部（白色），反之亦然。 通过此过程，虚拟机可以访问Internet。 要配置此机制，您需要配置SNAT和DNAT规则。
重要！ 仅当启用防火墙并配置了相应的允许规则时，NAT才起作用。

创建SNAT规则。 SNAT（源网络地址转换）是一种机制，其本质是在转发数据包时替换源地址。

首先，您需要找出可用的外部IP地址或IP地址范围。 为此，请转到“ 管理”部分，然后双击虚拟数据中心。 在出现的设置菜单中，转到Edge Gateway的选项卡。 选择所需的NSX Edge，然后右键单击它。 选择属性选项。



在出现的窗口的“ 子IP分配池”选项卡中，您可以看到外部IP地址或IP地址范围。 记录或记住它。



接下来，右键单击NSX Edge。 在出现的菜单中，选择“ 边缘网关服务”选项。 我们回到了NSX Edge控制面板。



在出现的窗口中，打开“ NAT”选项卡，然后单击“添加SNAT”。



在新窗口中，指定：

• 在“应用范围”字段中-外部网络（不是组织级别的网络！）；
• 原始源IP /范围-内部地址范围，例如192.168.1.0/24；
• 转换的源IP /范围-将通过其提供Internet访问的外部地址，您可以在“子分配IP池”选项卡中查看该地址。

单击保留。



创建一个DNAT规则。 DNAT是一种机制，可更改数据包的目标地址以及目标端口。 用于将传入数据包从外部地址/端口重定向到专用网络内的专用IP地址/端口。

选择“ NAT”选项卡，然后单击“添加DNAT”。



在出现的窗口中，指定：

-在“应用范围”字段中-外部网络（不是组织级别的网络！）；
-原始IP /范围-外部地址（来自“分配IP池”选项卡的地址）；
-协议-协议；
-原始端口-外部地址的端口；
-转换的IP /范围-内部IP地址，例如192.168.1.10
-转换的端口-外部地址端口将转换为内部地址的端口。

单击保留。



我们通过选择保存更改应用输入的配置。



做完了



接下来是DHCP手册，包括设置DHCP绑定和中继。